Première faille dans Firefox 1.5
Une faille a été découverte par Packetstorm Security dans la nouvelle version 1.5 de Firefox. Elle affecte la version Windows mais ne semble pas concerner la version Mac.
Cette faille est d'une simplicité désarmante. Firefox écrit l'historique des URL visités dans le fichier history.dat. Or il suffit de placer dans une page web un petit script en javascript pour faire écrire dans ce fichier une chaîne de caracères très longue. Lors du prochain lancement de Firefox cette chaîne de caractère provoquera un débordement de mémoire tampon et Firefox ne pourra pas démarrer. Il s'agit donc d'une forme de deni de service.
futura-sciences.comIl suffit alors d'effacer le fichier history.dat pour résoudre le problème.
En soi ce comportement est désagréable mais n'est pas dangereux, mais Packetstorm Security affirme qu'en utilisant une méthode plus élaborée il serait possible de faire exécuter, grâce au débordement de mémoire tampon, un code arbitraire éventuellement dangereux. Toutefois il n'existe actuellement aucun programme malveillant exploitant cette faille.
Il n'y a pas encore de correctif publié. Mais une méthode simple permet d'empêcher l'exploitation de la vulnérabilité : il suffit d'aller dans Outils, Options, Vie privée et, dans l'onglet Historique, mettre 0 pour le nombre de jours où Firefox doit mémoriser les dernières adresses visitées.
Par Webmaster | vendredi 9 décembre 2005 à 11:24 | Actualités
| 
| Note du billet: 0(0)
Billet suivant: Dell va adopter Firefox sur ces machines
Billet precedent: Firefox 1.5 est la, a vos telechargements!
Commentaires
Aucun commentaire pour le moment.
Ajouter un commentaire
Les commentaires pour ce billet sont fermés.